云安保服务商Tenable公司的一份报举报现,接受考查的公司中有74%暴露了存储或其余失误性能。这为网络罪犯关上了一扇风险的大门。总的来说,云安保越来越蹩脚。安保工具的可用性和品质越来越好,但确认云计算基础设备的人却越来越笨。有些物品必定要丢弃。
该钻研还显示,超越三分之一的云计算环境极易遭到多种要素的影响:高度特权、地下暴露和极度软弱的上班负载。这种令人担忧的“有毒云三位一体”使这些组织面临更高的网络攻打风险,并强调了立刻采取战略干预措施的必要性。
一个普遍的疑问是地下暴露的存储,由于权限过多,通常蕴含敏感数据,使其成为敲诈软件攻打的关键指标。此外,访问密钥的不当经常使用依然是一个严关键挟,84%的组织保管未经常使用的高度特权密钥。从历史上看,这种安保疏忽滋长了数据暴露,正如2023年9月米高梅酒店(MGMResorts)数据暴露等事情所证实的那样。
容器编排中的安保疑问
Kubernetes环境带来了另一层风险。该钻研指出,78%的组织领有可地下访问的KubernetesAPI主机,其中很大一局部准许入站互联网访问和不受限制的用户控制。这种松散的安保态势加剧了潜在的破绽。
处置这些软弱性要求采取片面的方法。组织应该经过集成身份、破绽、失误性能和数据风险信息来驳回高低文驱动的安保理念。这种一致的战略准许启动准确的风险评价和优先排序。经过遵守Pod安保规范和限制特权容器来控制Kubernetes访问是必无法少的,活期审计凭据和权限以口头最小特权准则也是必无法少的。
优先排序是关键
至关关键的是,要优先思考软弱性弥补措施,特意是高风险地域。活期审计和主动修补可以最大限制地缩小风险并增强安保弹性。这些致力应该与强健的控制、风险和听从性(GRC)通常坚持分歧,确保安保协定的继续改良和顺应性。
云安保要求踊跃主动,集成技术、流程和战略来降落风险。组织可以经过从主动措施开展到可继续的安保框架来更好地包全他们的云基础设备和数据资产,然而你究竟该怎样做呢?
实施弱小的访问控制措施。活期审计和审查访问密钥,以确保它们是必要的,并具备适当的权限级别。应经常轮换访问密钥,并消弭未经常使用或不要求的密钥,以最大限制地降落合法访问的风险。
增强IAM。口头严厉的IAM战略,口头起码特权准则。应用基于角色的访问控制(RBAC)来确保用户只能访问口头其上班性能所需的资源。
启动活期的安保审计和浸透测试。审核云环境,在攻打者应用它们之前识别并处置破绽和失误性能。我倡导延聘专门从事这方面上班的外部组织,而不是经常使用您自己的安保团队。我不知道有多少次我对违规行为启动预先剖析,发现他们多年来不时在给自己打分。你猜怎样着?他们给自己打了个A,甚至还把A和奖金挂钩。
部署智能监控和照应系统。智能化工具提供继续监控和实时要挟检测。成性能够智能照应某些类型的安保事情的系统,以最大限制地缩小检测和弥补之间的期间。
成功Kubernetes最佳通常。确保除非必要,否则Kubernetes API主机不会被地下访问,并限制用户权限以缩小潜在的攻打向量。
优先思考破绽控制。活期降级和修补一切软件和云服务,特意是那些具备高破绽优先级的软件和云服务,以防止新发现的破绽。
增强控制、风险和合规(GRC)框架。不时开展和保养健全的GRC通常,以评价和提高安保控制的有效性。这应该包括政策开发、风险评价、听从性跟踪和继续改良方案。
培训员工的安保看法。为一切员工提供继续的培训和看法方案,以确保他们了解的要挟和保养云环境中安保的最佳通常。正如之前所说的,大少数云计算安保疑问都是呼吸疑问——人是关键。
**疑问是资源,而不是最佳通常和牢靠安保工具的可用性。人们领有成功所需的一切工具和流程,然而企业没有调配资源来有效地口头这些。